信息安全概论(I)课件.ppt

1、h1第一章 信息安全概论（I）1.1信息安全概念与技术的发展信息安全概念与技术的发展1.2 信息安全管理的地位信息安全管理的地位 1.3 网络攻击简介网络攻击简介 1.4 引言：信息社会的挑战引言：信息社会的挑战1 1h2引言：信息社会的挑战信息技术处在蓬勃发展阶段，新思想、新技术、新产品层出不穷，带来了无穷发展空间的同时，也带来许多新问题：骇客（与黑客区别）攻击搅得全球不安 计算机病毒网上肆虐 蠕虫、木马等在互联网上大行其道 白领犯罪造成巨大商业损失 数字化能力的差距造成世界上不平等竞争1.信息战阴影威胁数字化和平1.11.1h3引言：信息社会的挑战 信息安全是信息化可持续发展的保障 信息化

2、与国家安全政治安全2001年初，美国前国务卿奥尔布赖特在国会讲：“中国为了发展经济，不得不连入互连网。互连网在中国的发展，使得中国的民主，真正地到来了。”香港广角镜月刊七月号文章：中情局对付中国的十条诫令1.11.1h4引言：信息社会的挑战 信息化与国家安全经济安全我国计算机犯罪的增长速度超过了传统的犯罪：97年20 几起，98年142起，99年908起，2000年上半年1420起利用计算机实施金融犯罪已经渗透到了我国金融行业的各项业务：近几年已经破获和掌握100多起，涉及金额几个亿1.11.1h5引言：信息社会的挑战 2000年2月7日10:15，垃圾邮件堵死了YAHOO网站除邮件服务等三个

3、站点之外的所有服务器，YAHOO大部分网络服务陷入瘫痪。第二天，世界最著名的网络拍卖行eBay因袭击而瘫痪。美国有线新闻网CNN的网站随后也因袭击而瘫痪近2个小时；顶级购物网站亚马逊也被迫关闭1个多小时。此后又有一些著名网站被袭：Zdnet，Etrade，Excite，Datek，到2月17日为止，黑客攻击个案已增至17宗。引起美国道琼斯股票指数下降了200多点。成长中的高科技股纳斯达克股票也下跌了80点。1.11.1h6引言：信息社会的挑战 1999年4月26日，台湾人编制的CIH病毒的大爆发，有统计说我国大陆受其影响的PC机总量达36万台之多。有人估计在这次事件中，经济损失高达近12亿RM

4、B 据美国加利福尼亚州的名为“电脑经济”的研究机构发布的初步统计数据，2001年“尼姆达”蠕虫大爆发两天之后，全球约有4500万台电脑被感染，造成的损失达到26亿USD。后续几天里，“尼姆达”病毒所造成的损失还将以每天10至15亿USD的速度增加1.11.1h7引言：信息社会的挑战 信息化与国家安全社会稳定 1999年4月，河南商都热线一个BBS，一张说交通银行郑州支行行长携巨款外逃的帖子，造成了社会的动荡，三天十万人上街排队，挤兑10亿 2001年2月8日春节，新浪网遭受攻击，电子邮件服务器瘫痪了18个小时，造成几百万用户无法正常的联络 网上不良信息腐蚀人们的灵魂色情资讯业日益猖獗网上赌博盛

5、行1.11.1h8引言：信息社会的挑战 信息化与国家安全信息战1990年海湾战争，被称为“世界上首次全面信息战”。美军通过向带病毒芯片的打印机设备发送指令，致使伊拉克军队系统瘫痪，轻易地摧毁了伊军的防空系统。多国部队运用精湛的信息技术,仅以伤亡百余人的代价取得了歼敌十多万的成果.在科索沃战争中，美国的电子专家成功侵入了南联盟防空体系的计算机系统。当南联盟军官在计算机屏幕上看到敌机目标的时候，天空上其实什么也没有。通过这种方法，美军成功迷惑了南联盟，使南联盟浪费了大量的人力物力资源。1.11.1h9引言：信息社会的挑战 网络信息安全问题的严峻性 涉及国家政治、经济、文化、社会各个层面。网络安全造

6、成的损失越来越大。攻击手段越来越高，越来越复杂，攻击者实施攻击所需要的技术水平越来越低。攻击的范围越来越大，所需时间越来越短。1.11.1h10引言：信息社会的挑战 攻击复杂度与攻击者的技术水平1.11.1高高低低19801985199019952000猜口令猜口令自我复制程序自我复制程序口令破解口令破解攻击已知漏洞攻击已知漏洞破坏审计破坏审计后门程序后门程序干扰通信干扰通信手动探测手动探测窃听窃听数据包欺骗数据包欺骗图形化界面图形化界面自动扫描自动扫描拒绝服务拒绝服务www攻击攻击工具工具攻击者攻击者攻击者的攻击者的知识水平知识水平隐秘且高级的扫描工具隐秘且高级的扫描工具偷窃信息偷窃信息网管

7、探测网管探测分布式攻击工具分布式攻击工具新型的跨主机工具新型的跨主机工具h11引言：信息社会的挑战 攻击范围和时间的变化1.11.1全面框架全面框架区域网络区域网络多个局域网多个局域网单个局域网单个局域网单个单个pc目标和破坏目标和破坏的范围的范围1980s1990sTodayFuture第一代第一代 Boot virusesWeeks第二代第二代 Macro viruses Denial of serviceDays第三代第三代 Distributed denial of service Blended threatsMinutes下一代下一代 Flash threats Massive w

8、orm-driven DDoS Damaging payload wormsSeconds快速变化的威胁快速变化的威胁h12引言：信息社会的挑战信息安全：信息安全：防止任何对数据进行未授权访问的措施，或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性。网络安全：网络安全：计算机网络环境下的信息安全。1.11.1h13信息的安全需求（CIA三要素）保密性（保密性（Confidentiality）：对信息资源开放范围的控制。（数据加密、访问控制、防计算机电磁泄漏等安全措施）完整性（完整性（Integrity）：保证计算机系统中的信息处于“保持完整或一种未

9、受损的状态”。（任何对系统信息应有特性或状态的中断、窃取、篡改、伪造都是破坏系统信息完整性的行为）可用性（可用性（Availability）：合法用户在需要的时候，可以正确使用所需的信息而不遭服务拒绝。（系统的可用性与保密性之间存在一定的矛盾）信息的可控性信息的可控性：即出于国家和机构的利益和社会管理的需要，保证管理者能够对信息实施必要的控制管理，以对抗社会犯罪和外敌侵犯。信息的不可否认性信息的不可否认性：即信息的行为人要为自己的信息行为负责，提供保证社会依法管理需要的公证、仲裁信息证据。h14网络不安全的原因自身缺陷开放性黑客攻击自身缺陷开放性黑客攻击内因内因 人们的认识能力和实践能力的局限

10、性人们的认识能力和实践能力的局限性 系统规模系统规模 Windows 3.1 300万行代码万行代码 Windows 2000 5000万行代码万行代码 Internet从建立开始就缺乏安全的总体构从建立开始就缺乏安全的总体构想和设计想和设计 TCP/IP协议是在可信环境下，为网络互联协议是在可信环境下，为网络互联专门设计的，缺乏安全措施的考虑专门设计的，缺乏安全措施的考虑h15网络不安全的原因CERT/CC关于系统漏洞的报告h16网络不安全的原因网络安全漏洞发展趋势 利用漏洞发动攻击的速度加快：利用漏洞发动攻击的速度加快：Symantec统计，2004年上半年，漏洞公布到攻击代码出现时间：5

11、.8天 威胁程度不断增加威胁程度不断增加2004年1-6月，有攻击代码的漏洞中64%属于高度危险，36%属于中度危险漏洞利用分析人员兴趣的变化 WebWeb应用的漏洞越来越多应用的漏洞越来越多Symantec统计，2004年上半年公布了479个与Web应用有关的漏洞，占总数的39%h17网络不安全的原因 外因外因h18网络不安全的原因Insider（内部人员）威胁必须引起高度重视国内外从事信息安全的专业人士，通过调查逐步认识到，媒体炒得火热的外部入侵事件，充其量占到所有安全事件的20%-30%，而70%-80%的安全事件来自于内部。h19 信息安全概念与技术的发展信息安全的概念与技术是随着人们

12、的需求，随着计算机、通信与网络等信息技术的发展而不断发展的。1.21.2h20单机系统的信息保密阶段信息保密技术的研究成果：发展各种密码算法及其应用：DES（数据加密标准）、RSA（公开密钥体制）等。计算机信息系统安全模型和安全评价准则h21网络信息安全阶段该阶段中，除了采用和研究各种加密技术外，还开发了许多针对网络环境的信息安全与防护技术：（被动防御）安全漏洞扫描技术、安全路由器、防火墙技术、入侵检测技术、网络攻防技术、网络监控与审计技术等。当然在这个阶段中还开发了许多网络加密、认证、数字签名的算法和信息系统安全评估准则（如CC通用评估准则）。h22信息保障阶段信息保障（信息保障（IA）概念

13、与思想的提出：20世纪90年代由美国国防部长办公室提出。定义：通过确保信息和信息系统的可用性、完整性、可控性、保密性和不可否认性来保护信息系统的信息作战行动，包括综合利用保护、探测和反应能力以恢复系统的功能。h23信息保障阶段 信息保障技术框架信息保障技术框架IATF：由美国国家安全局制定，提出“纵深防御策略纵深防御策略”DiD（Defense-in-Depth Strategy）。在信息保障的概念下，信息安全保障的PDRR模型模型的内涵已经超出了传统的信息安全保密，而是保护（Protection）、检测（Detection）、响应（Reaction）和恢复（Restore）的有机结合。信息保

14、障阶段不仅包含安全防护的概念，更重要的是增加了主动和积极的防御观念。h24保护保护检测检测恢复恢复响应响应信息信息保障保障采用一切手段（主要指静态防护采用一切手段（主要指静态防护手段）保护信息系统的五大特性手段）保护信息系统的五大特性。及时恢复系统，使其尽快正常对外提供服及时恢复系统，使其尽快正常对外提供服务，是降低网络攻击造成损失的有效途径务，是降低网络攻击造成损失的有效途径对危及网络安全的事件和行为做出反应，阻对危及网络安全的事件和行为做出反应，阻止对信息系统的进一步破坏并使损失降到最止对信息系统的进一步破坏并使损失降到最低低PDRR安全模型检测本地网络的安全漏洞和存在的非检测本地网络的安

15、全漏洞和存在的非法信息流，从而有效阻止网络攻击法信息流，从而有效阻止网络攻击h25网络攻击简介实施有效的网络攻击必须掌握相应的知识，选择恰当的攻击手段，采用合理的方法与步骤，才能取得预期的效果。1.41.4h26网络攻击简介1.41.4h27网络攻击简介1.41.4h28什么是网络攻击网络攻击：网络攻击：网络攻击者利用目前网络通信协议（如TCP/IP协议）自身存在的或因配置不当而产生的安全漏洞、用户使用的操作系统内在缺陷或者用户使用的程序语言本身所具有的安全隐患等，通过使用网络命令、从Internet上下载的专用软件或者攻击者自己编写的软件，非法进入本地或远程用户主机系统，非法获得、修改、删除

16、用户系统的信息以及在用户系统上添加垃圾、色情或者有害信息（如特洛伊木马）等一系列过程的总称。h29常见的网络攻击手段 阻塞类攻击 控制类攻击 探测类攻击 欺骗类攻击 漏洞类攻击 破坏类攻击注意：注意：在一次网络攻击中，并非只使用上述六种攻击手段中的某一种，而是多种攻击手段相综合，取长补短，发挥各自不同的作用。h30阻塞类攻击（1/2）阻塞类攻击企图通过强制占有信道资源、网络连接资源、存储空间资源，使服务器崩溃或资源耗尽无法对外继续提供服务。拒绝服务攻击（DoS，Denial of Service）是典型的阻塞类攻击，它是一类个人或多人利用Internet协议组的某些工具，拒绝合法用户对目标系统

17、（如服务器）和信息的合法访问的攻击。常见的方法：TCP SYN洪泛攻击、Land攻击、Smurf攻击、电子邮件炸弹等多种方式。h31阻塞类攻击（2/2）DoS攻击的后果：使目标系统死机；使端口处于停顿状态；在计算机屏幕上发出杂乱信息、改变文件名称、删除关键的程序文件；扭曲系统的资源状态，使系统的处理速度降低。h32控制类攻击 控制型攻击是一类试图获得对目标机器控制权的攻击。最常见的三种：口令攻击、特洛伊木马、缓冲区溢出攻击。口令截获与破解口令截获与破解仍然是最有效的口令攻击手段，进一步的发展应该是研制功能更强的口令破解程序；木马技术木马技术目前着重研究更新的隐藏技术和秘密信道技术；缓冲区溢出缓

18、冲区溢出是一种常用的攻击技术，早期利用系统软件自身存在的缓冲区溢出的缺陷进行攻击，现在研究制造缓冲区溢出。h33探测类攻击 信息探测型攻击主要是收集目标系统的各种与网络安全有关的信息，为下一步入侵提供帮助。主要包括：扫描技术、体系结构刺探、系统信息服务收集等。目前正在发展更先进的网络无踪迹信息探测技术。网络安全扫描技术：网络安全扫描技术：网络安全防御中的一项重要技术，其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。它既可用于对本地网络进行安全增强，也可被网络攻击者用来进行网络攻击。h34欺骗类攻击 欺骗类攻击包括IP欺骗和假消息攻击，前一种通过冒充合法网络主机骗取敏感信息，

19、后一种攻击主要是通过配制或设置一些假信息来实施欺骗攻击。主要包括：ARP缓存虚构、DNS高速缓存污染、伪造电子邮件等。h35漏洞类攻击 针对扫描器发现的网络系统的各种漏洞实施的相应攻击，伴随新发现的漏洞，攻击手段不断翻新，防不胜防。漏洞（漏洞（Hole）：系统硬件或者软件存在某种形式的安全方面的脆弱性，这种脆弱性存在的直接后果是允许非法用户未经授权获得访问权或提高其访问权限。要找到某种平台或者某类安全漏洞也是比较简单的。在Internet上的许多站点，不论是公开的还是秘密的，都提供漏洞的归档和索引等。h36破坏类攻击 破坏类攻击指对目标机器的各种数据与软件实施破坏的一类攻击，包括计算机病毒、逻辑炸弹等攻击手段。逻辑炸弹与计算机病毒的主要区别：逻辑炸弹没有感染能力，它不会自动传播到其他软件内。注意：注意：由于我国使用的大多数系统都是国外进口的，其中是否存在逻辑炸弹，应该保持一定的警惕。对于机要部门中的计算机系统，应该以使用自己开发的软件为主。